Fonte: CodeSnippet -
Google Chrome blocca le XSS e' un post di: CodeSnippet
Articolo a cura di Malex
Interessante questa funzionalità, presente nella versione 4.0.207.0, la Dev disponibile per sistemi Linux e Mac, che ha il compito di bloccare le XSS. Ma non tutte, intendiamoci: se inseriamo il classico alert(”XSS”); Chrome lo ignorerà, perché effettivamente non comporta alcun pericolo.
Quindi cosa blocca esattamente? Semplice, blocca il codice javascript non appartenente alla pagina in sé, quindi, inutile tentare di includere un .js che compia del cookie grabbing, Chrome lo bloccherà.
Al momento, a lato utente ciò non viene notato, infatti, è necessario aprire la Console Javascript per vedere il log di ciò che è stato bloccato. In questi giorni stanno valutando di come e che interfaccia inserire per informare l’utente dell’avvenuto blocco del codice potenzialmente dannoso. BigG sottolinea che questa è ancora una versione beta di ...
